云盾_冰盾ddos防火墙_如何解决

MITRE最近进行了第二次ATT&CK演习,这是他们正在进行的一系列年度端点安全有效性测试和评估。这个测试集中于评估多个端点安全厂商针对模拟对手的行为能力,这些行为能力紧密地围绕着记录良好的真实世界中的威胁参与者。预防不是本测试的重点,因此假设妥协和在利用后了解对手活动的能力是主要的重点。每年都会根据对手的公开信息,选出一个新的威胁参与者,并尽可能地进行模拟。在2019年,臭名昭著的(APT29)被选为ATT&CK评估中效仿的团队。他们是一个独特的俄罗斯对手,以2015年夏天开始的(民主国家委员会的妥协)而闻名。该组织已经活跃了不到十年的时间,并被许多别名所熟知,比如钇、公爵、舒适熊和舒适公爵。他们的策略因获得访问所用的目标和利用方法而有很大的不同-从低目标和慢目标技术到完全的粉碎和抓取;定期利用自定义恶意软件和生活在陆地二进制和脚本(LOLBas),重点放在PowerShell上。鉴于主要依赖于PowerShell和相关技术,我将APT29最广泛使用的技术集合编译成一个PowerShell脚本,以便其他人能够快速、轻松、安全地模拟大多数与MITRE ATT&CK相关的对手技术。这个脚本主要由(redcanary Atomic Red Team framework)中包含的技术组成,尽管许多技术已经过定制,以更接近APT29。VMware炭黑威胁分析部门(TAU)在准备最新的MITRE ATT&CK评估回合时开发的定制攻击场景和技术进一步增强了这一点:(此处下载)要开始使用脚本,只需将脚本作为模块导入,然后使用-help标志调用Invoke-APT29函数,以显示使用说明和基本信息。图1:显示Invoke-APT29的可用选项图2:显示MITRE ATT&CK网站上的APT29信息要查看(MITRE网站)上记录的关于APT29的高级信息,请使用-about标志调用Invoke-APT29。从这里开始,你可以开始模拟攻击。这些模块由MITRE TID组织,可以通过-listTechnologies标志列出。图3:显示可用的MITRE ATT&CK技术图4:使用搜索查找并启动UAC旁路技术的示例您还可以通过-search标志搜索术语/工具等。一旦找到要模拟的攻击,将TID作为标志传递,以查看有关技术和执行指令的信息。在函数中添加-listVariants将突出显示模拟攻击活动的不同方法。一旦选择了所需的攻击,传递-attack和-variant标志来执行模拟攻击。大多数模拟都可以在管理权限内执行,有些模拟是为了提升权限而设计的,比如上面的UAC示例。但是,有些攻击需要管理权限才能成功。这些技术也可能被您的端点安全解决方案阻止,因为所使用的技术在业界是众所周知的。图5:调用Mimikatz sekurlsa转储攻击模拟某些攻击会对系统进行更改,例如修改注册表、创建计划任务等。因此,在适用的情况下,攻击会带有-cleanup选项,允许您删除与模拟相关的任何持久数据。图6:粘滞键持久性攻击和清理示例虽然这个脚本主要集中在单个端点上的模拟,但是可以跨远程主机执行攻击,并强调横向移动如何影响端点安全解决方案的遥测。要开始,您可以通过传递-enablePSRemoting标志来启用PowerShell远程处理。还有一个-disablePSRemoting可以关闭此功能。图7:PSRemoting自动(不安全)配置启用PSRemoting后,现在可以在目标主机上远程执行PowerShell命令。默认情况下,"远程"攻击将针对本地主机,因此为了更准确地模拟此活动,建议使用您的唯一域信息修改脚本。图8:通过psremoting在远程系统上运行Invoke-Mimikatz为了更进一步,该脚本实现了多种方法来获取流行命令和控制工具的反向shell,比如(Metasploit)和(Empire),以及一些更流行的(LOLBas)选项,比如Rundll32和MSHTA。要利用这些,请设置-shell标志和所需的选项。默认情况下,这些都不是武器化/配置的,因为它们必须根据您自己的C2进行定制。然而,攻击的例子是可用的,这意味着扩展。图9:远程Shell示例一旦建立了一个shell,就可以通过将脚本导入beacon来继续利用Invoke-APT29.ps1。例如,在Cobalt Strike中,可以使用PowerShell Import和Powerpick来完成此操作。这可以用类似的平台以各种方式实现。图10:钴打击powershell导入和powerpick示例最重要的是,在执行各种攻击模拟之后,您需要检查端点安全解决方案,以测量总体安全效能,并确保能够检测到执行的活动。利用Invoke-APT29,您可以模拟一个众所周知且有文档记录的对手,并了解端点保护解决方案的安全效能。视频演示

热门推荐
  • 云防护_棋牌app高防_快速接入

      洛杉矶,2010年11月11日--诺斯罗普格鲁曼公司(纽约证券交易所:NOC)获得了筹款专业人士协会(AFP)大洛杉矶分会颁发的杰出企......

    11-10    来源:长虹华伟

    分享
  • 香港高防cdn_国外cdn防御_无限

      阿拉巴马州亨茨维尔,2010年12月17日——美国陆军和诺斯罗普·格鲁曼公司(纽约证券交易所:NOC)完成了一系列以作战人员为中......

    11-10    来源:长虹华伟

    分享
  • ddos盾_国内高防云服务器_打不死

      弗吉尼亚州赫恩登,2010年8月4日——诺斯罗普·格鲁曼公司(纽约证券交易所:NOC)已经通知了哈格斯敦维修改造中心的剩余员......

    11-10    来源:长虹华伟

    分享
  • 香港高防ip_ddos防御方法_快速接入

      圣地亚哥,2011年1月4日——诺斯罗普格鲁曼公司(纽约证券交易所:NOC)已成功完成多功能战术通用数据链(MR-TCDL)系统的第二......

    11-11    来源:长虹华伟

    分享
  • 云防护_服务器防断电设备_如何防

      弗吉尼亚州赫恩登,2010年9月27日——堪萨斯州美国财产和金融办公室授予诺斯罗普·格鲁曼公司(Northrop Grumman Corporation)(纽......

    11-11    来源:长虹华伟

    分享
  • 网站防御_阿里云香港高防_无限

      弗吉尼亚州赫恩登,2010年7月30日——诺斯罗普·格鲁曼公司(纽约证券交易所:NOC)已向新奥尔良海军航空站联合储备基地的......

    11-12    来源:长虹华伟

    分享
  • 抗ddos_高防初为_限时优惠

      对于这个版本的卡巴斯基实验室跨大西洋电缆播客,我与我们的全球研究和分析团队的大卫雅各比坐下来。我们的讨论集中在......

    11-14    来源:长虹华伟

    分享
  • 服务器防护_上海云盾信息技术有限公司

      彼佳和米莎是朋友。他们通常一起做任何事情…。哦,等等,这不是什么"俄罗斯傻瓜"的书,这是卡巴斯基日报的博客。他们......

    11-15    来源:长虹华伟

    分享
  • 云盾_冰盾ddos防火墙_如何解决

      MITRE最近进行了第二次ATTCK评估中效仿的团队。他们是一个独特的俄罗斯对手,以2015年夏天开始的(民主国家委员会的妥协)......

    11-15    来源:长虹华伟

    分享
  • cdn防护_美国服务器防御_方法

      向移动员工队伍的突然而戏剧性的转变将视频会议推到全球聚光灯下,并使视频会议供应商从企业通信工具发展到关键基础设......

    11-15    来源:长虹华伟

    分享
返回列表
Ctrl+D 将本页面保存为书签,全面了解最新资讯,方便快捷。